对于业务领导来讲，近期由REvil犯罪团伙发起的Kaseya勒索软件攻击事件，带给我们很多警示。作为安全领域的领先厂商，Splunk愿意为整个行业提供工具、指导和支持。

近些年，勒索软件攻击日益猖獗，攻击节奏和攻击规模也在不断加速。原因有很多，其中之一便是数字经济的高速发展。在此背景下，数据成为通用资源，数据安全与否决定着业务弹性高低。过去十年间，随着SaaS以及软件供应链的兴起，业务图景已经发生了重大转变。此外，突如其来的疫情加剧了远程办公这一趋势的发展并重新定义了攻击面维度，使得检测与响应成为许多安全组织严重依赖的基本模式。

攻击者恰恰利用了这种转变，不断利用其中出现的新型安全维度来发起攻击。先是SolarWinds，接着是Kaseya，都是借助这些备受人们信任的管理软件和供应链，对任务关键型运营和数据发动攻击。诸如REvil这样的犯罪团伙将上述安全维度发展成为一种商业模式，提供全栈RaaS服务（从提供部署支持到分成计划），利用可编程互联网语音（VOIP）服务通知当地媒体某某组织受到攻击，以此增加受害者的压力。

勒索攻击往往会造成轰动效应，引起大众恐慌，正像某些管理层会说，“天啊，你看到了吗？怎么做才能保证我们不是下一个受害者?!”。随着威胁形势的快速演进以及攻击方式的花样翻新，人们很容易变得麻木，认为即使抵抗也是徒劳。但另一方面，有些业务领导和安全领导也在采取行动，不断提升防御效率，这些行动包括：

1、制定策略，明确规定勒索事件处理方式

美国国土安全部和FBI建议所有企业不要支付赎金。我们认为，您需要在遭受攻击之前，联合董事会成员共同制定预案，针对不同勒索场景确定响应方式，而不是在遭受攻击之后被动应对。

2、创建属于您的情报生态系统

当您意识到正在遭受勒索软件攻击时，实际上已经太晚了。我们建议您与共享社区合作，如信息共享与分析中心 (Information Sharing and Analysis Centers, ISAC) 和信息共享与分析组织 (Information Sharing and Analysis Organizations, ISAO). 这些社区组织可以让您分享相关战术、技术和过程 (tactics, techniques, and procedures, TTP) 以及IOC 等内容，而那些值得信任的与您有着同样业务威胁的组织也可以分享他们的信息。信息分享得越快，检测并响应勒索软件攻击的能力就越能得到锻炼，避免受到攻击的可能性就越大。

3、夯实您的基础力量

为了实现检测与响应，一定要确保您部署的人力、过程以及技术为最好。在资产与身份框架之下，如果资产管理做得好，就能很快找到系统漏洞。经常性地执行漏洞扫描有助于我们发现系统漏洞，帮助您排定打补丁的优先级，让您更有精力聚焦检测这一块。

同时，您需要了解您所在的团队以及其他团队的成熟度以及表现如何，但在实现这两点方面困难重重。在恐惧、不确定以及猜疑四起的情况下，实现清晰明确的跨功能部门的沟通最为重要，这也是平均检测时间(MTTD)与平均响应时间(MTTR)这类指标能够给到我们的帮助。这些指标有助您了解组织是否准备充分，是否具有弹性，并为您提供各个业务部门都能理解的建议。

面对网络犯罪分子在全球范围内对数据的利用和强占，对勒索软件进行防御和检测，同时确保供应链不受攻击，将继续成为安全工作的重中之重。面对勒索软件攻击以及供应链威胁，我们需要战略性地采用以数据为中心的方法，对环境展开检测、采用主动防御性策略，简化组织内安全相关的通信。

本文作者 | Patrick Coughlin

文章来源Splunk大数据